本文为您介绍VPN网关的常见问题及解答。

VPN网关是否支持经典网络?

不支持。

VPN网关仅支持专有网络VPC(Virtual Private Cloud),如果您想在经典网络中使用VPN网关,需要在VPC中开启ClassicLink功能。具体操作,请参见在经典网络中使用IPsec-VPN

本地站点通过IPsec-VPN接入VPC的前提条件是什么?

  • 本地站点的网关设备必须支持IKEv1和IKEv2协议。

    IPsec-VPN支持IKEv1和IKEv2协议。只要支持这两种协议的设备均可以和阿里云VPN网关互连。

  • 本地站点的网关设备必须配置静态公网IP地址。
  • 本地站点和VPC之间需要互通的网段没有重叠。

关于本地站点如何通过IPsec-VPN连接至VPC,请参见建立VPC到本地数据中心的连接

跨地域VPC是否可以通过VPN网关互通?

可以。具体操作,请参见建立VPC到VPC的连接

哪些本地网关设备可以与阿里云VPN网关建立连接?

阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和阿里云VPN网关互连。例如华三、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。具体操作,请参见本地网关配置

每个VPN网关可以建立多少个IPsec连接?

每个VPN网关默认支持创建10个IPsec连接。如需创建更多IPsec连接,请提升配额。具体操作,请参见管理配额

是否可以通过VPN网关访问互联网?

不可以。

VPN网关仅提供私网接入VPC的功能,不提供访问互联网的功能。

VPC间互通流量是否经过互联网?

不经过。

通过VPN网关实现跨地域VPC间互连,流量只经过阿里云网络,不经过互联网。

是否支持在一个IPsec连接中配置多个对端网段?

支持。

如果一个IPsec连接配置多个对端网段,建议IKE版本选择IKEv2。

是否可以降低VPN网关配置?

可以。

如需降低VPN网关配置,请提交工单

SSL-VPN发布前购买的VPN网关实例是否可以使用SSL-VPN功能?

不可以。

如需使用,请提交工单

如何充分利用VPN网关的带宽?

一条IPsec连接支持的最大带宽值为200 Mbps,如果您的VPN网关的带宽峰值大于200 Mbps,您可以通过创建多条IPsec连接充分利用VPN网关带宽。

例如,您的VPN网关的带宽峰值为800 Mbps,云上私网网段为10.0.0.0/8,本地私网网段为192.168.0.0/24,您可以配置4条IPsec连接,每条IPsec连接的本端网段和对端网段的配置如下:
  • IPsec连接1

    本端网段:10.0.0.0/10,对端网段:192.168.0.0/24

  • IPsec连接2

    本端网段:10.64.0.0/10,对端网段:192.168.0.0/24

  • IPsec连接3

    本端网段:10.128.0.0/10,对端网段:192.168.0.0/24

  • IPsec连接4

    本端网段:10.192.0.0/10,对端网段:192.168.0.0/24

其他参数配置,请参见建立VPC到本地数据中心的连接

VPN网关中如何为网络ACL配置规则?

  • 如果您在VPN网关所在的子网中使用了网络ACL,需要在网络ACL的出方向和入方向分别配置规则允许100.104.0.0/16网段通过。
  • 如果您在SSL-VPN所在的子网中使用了网络ACL,网络ACL需配置规则放开1194端口。

使用IPsec-VPN连接AWS VPN网关时,为什么会产生流量不通的现象?

  • 现象原因

    AWS VPN网关单个加密通道不支持协商多个SA(Security Association),当您将阿里云侧IPSec连接的路由模式配置为感兴趣流模式并为IPsec连接设置多个本端网段或对端网段时,AWS侧因存在限制而无法发送报文。

  • 规避方法

    为您提供以下两种规避方法:

    • 当您将阿里云侧IPSec连接的路由模式配置为感兴趣流模式时,IPsec连接的本端网段和对端网段均只设置一个网段。
    • 修改阿里云侧IPsec连接的路由模式为目的路由模式。